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PROCEDE DE TRANSPORT DE PAQUETS ENTRE UNE INTERFACE 
D'ACCES D'UNE INSTALLATION D'ABONNE ET UN RESEAU PARTAGE, 
ET INTERFACE D'ACCES METTANT EN CEUVRE UN TEL PROCEDE 

La presente invention concerne tes reseaux de transmission par 
5 paquets. Elle s'applique notamment, mais non exclusivement, aux reseaux 
partages fonctionnant selon le protocole Internet (IP). 

La mise en oeuvre de 1'invention intervient dans le cadre des relations 
contractuelles entre un fournisseur d'acces au reseau partage et ses clients. Le 
fournisseur dispose, pour le raccordement des installations de ses clients, d'uh 
10 ou plusieurs routeurs de concentration du reseau partage. Des lignes de 
transmission relient ce routeur de concentration aux interfaces d'acces des 
installations des clients, qui peuvent etre des interfaces de routeurs d'acces de 
reseaux prives. 

On designe ici par fonctions de « police » divers traitements ou 

15 controles effectues au niveau d'une interface du reseau sur des flux de 
donnees qui la traversent. A titre d'exemples non limitatifs, on peut citer le 
comptage des paquets echanges entre une adresse de source et une adresse 
de destination donnees, I'attribution de priorites a certains paquets, des 
traductions d'adresse, la destruction selective de certains paquets, etc. 

20 Ces fonctions de police peuvent s'inscrire dans un cadre contractuel 

entre un abonne (client) et un gestionnaire du reseau (fournisseur de services). 
Cela peut par exemple etre le cas de fonctions relatives a la facturation, au 
controie de debit, aux automations d'acces a certains sites relies au reseau, a 
la mise en oeuvre de protocoles de reservation tels que RSVP,. ... Elles . 

25 peuvent egalement s'inscrire dans le cadre de I'organisation interne d'un 
reseau public ou prive, par exemple pour controler certains acces. 

Habituellement, les fonctions de police relevant du cadre contractuel 
entre le fournisseur d'acces et ses clients sont mises en oeuvre au niveau des 
interfaces de raccordement du routeur de concentration. Ce routeur heberge 

30 des logiciels de controie des flux qui circulent sur ses differentes interfaces. 
Les paquets ayant certaines adresses ou ports de provenance ou de 
destination sont comptes, filtres, reagences... selon le type de service offer! 
Du fait du nombre eleve d' installations susceptibles d'etre reliees au routeur de 
concentration et de la variete de services qui peuvent etre rendus pour ces 

35 installations, les differents controles de flux a appliquer peuvent augmenter 
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considerablement la complexity du routeur. Cet inconvenient est d'autant plus 
sensible que des traitements de plus en plus divers sont demandes par les 
clients ou requis par les nouveaux protocoles de reservation. 

D' autre part, cette organisation n'est pas souple pour le client qui 
souhaite faire evoluer certaines caracteristiques du service qui lui est offert. II 
doit pour cela s'adresser a son fournisseur pour que celui-ci effectue les 
changements requis au niveau de son routeur de concentration. 

Un but de la presente invention est de proposer un mode de 
fonctionnement du reseau qui permette la prise en compte d'une grande 
diversite de controles de flux sans se traduire par une augmentation excessive 
de la complexity des routeurs de concentration, et avec une relative souplesse 
de configuration. 

L'invention propose ainsi un procede de transport de paquets entre une 
interface d'acces d'une installation d'abonne et un routeur de concentration 
d'un reseau partage, dans lequel I' interface d'acces procede a des operations 
de controle sur des flux de paquets emis vers le routeur de concentration, dans 
le cadre d'un contrat entre I'abonne et un gestionnaire du reseau partage. 
Apres avoir procede aux operations de controle vis-a-vis d'un paquet a 
emettre, l" interface d'acces emet ce paquet vers le routeur de concentration 
avec une signature basee sur un secret partage avec le routeur de 
concentration, authentifiant que le paquet a ete soumis aux operations de 
controle. 

De preference, I'obtention de la signature et certaines au moins des 
operations de controle sont realisees au sein d'un meme circuit integre, sans 
acces physique immediatement en amont de I'obtention de la signature. 

Les controles de flux relevant du cadre contractuel entre le 
gestionnaire du reseau et I'abonne sont ainsi decentralises, ce qui evite que le 
routeur de concentration ait a assumer toute la diversite des operations 
requises par les differents abonnements. Le mecanisme de signature des 
paquets garantit au gestionnaire du reseau que I'abonne, qui dispose dans ses 
locaux de I' interface d'acces, ne lui envoie pas de paquets qui n'auraient pas 
ete soumis aux operations de controle de flux, c'est-a-dire qui auraient 
contourne les fonctions de police et de facturation. 

Le procede donne lieu a une architecture distribute de I'acces et de la 
concentration, qui est bien adaptee pour prendre en compte les augmentations 
de trafic et de diversite de services qu'entralneront les applications futures. 
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L'abonne beneficie en outre d'une plus grande souplesse pour definir 
dynamiquement les caracteristiques de son abonnement. II lui suffit d'intervenir 
au niveau de r interface d'acces dont il dispose. II peut d' autre part definir les 
fonctions de police relevant du cadre contractuel avec le fournisseur d'acces 
sur la meme plate-forme que les autres fonctions de police qu'il utilise pour 
1'organisation interne de son installation, ce qui simplifie son organisation. 

Un autre aspect de la presente invention se rapporte a une interface 
d'acces pour relier un routeur d'acces d'une installation d'abonne a un routeur 
de concentration d'un reseau partage, comprenant des moyens de controle des 
flux de paquets emis vers le routeur de concentration, dans le cadre d'un 
contrat entre Tabonne et un gestionnaire du reseau partage, et des moyens de 
signature recevant les paquets delivres par les moyens de controle de flux et 
produisant des paquets signes emis vers le routeur de concentration, chaque 
paquet signe comportant une signature basee sur un secret partage avec le 
routeur de concentration, authentifiant que le paquet a ete soumis aux moyens 
de controle de flux. 

D'autres particulates et avantages de la presente invention 
apparaitront dans la description ci-apres d'exemples de realisation non 
limitatifs, en reference aux dessins annexes, dans lesquels : 

- la figure 1 est un schema d'un reseau ou I'invention peut etre mise en 



- la figure 2 est un schema synoptique d'un routeur d'acces d'une 
installation privee de ce reseau ; 

- la figure 3 est un schema synoptique d'un dispositif de traitement de 
flux faisant partie d'une interface du routeur de la figure 2 ; et 

- la figure 4 est un graphe de traitements elementaires assures par le 
dispositif de la figure 3. 

La figure 1 montre un reseau partage de grande etendue (WAN) 10 
comportant un certain nombre de routeurs et commutateurs interconnects 
11,12. On considere ici le cas ou le reseau partage 10 fonctionne selon le 
protocole IP. Un certain nombre des routeurs sont des routeurs de 
concentration 12 auxquels sont reliees des installations privees 13. 

Une installation privee d'abonne 13 est typiquement reliee au reseau 
partage 10 au moyen d'un routeur d'acces 15 dont Tune des interfaces 16 est 
reliee a une ligne 17 de transmission depuis et vers le routeur de concentration 
12. Le routeur d'acces 15 peut etre relie a d'autres routeurs de ('installation 



ceuvre ; 
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privee 13 ou a des serveurs ou terminaux 18 de cette installation, au moyen 
d'autres interfaces non representees sur la figure 1 . 

La figure 2 montre un exemple d'architecture du routeur d'acces 15. 
L'interface exterieure 16, ainsi que les interfaces 20,21 avec le reste de 
('installation privee 13, sont reliees au cceur du routeur consistant en un moteur 
d'acheminement de paquets 22 (« packet forwarding engine »). Le moteur 
d'acheminement 22 achemine les paquets d'une interface vers une autre sur la 
base des champs d'adresse et de port contenus dans les en-tetes des paquets 
conformement au protocole IP et a ses eventuelles extensions (TCP, UDP,...), 
en se reportant a des tables de routage. 

Certaines des interfaces du routeur d'acces 15 sont pourvues. dans 
I'un seulement ou dans les deux sens de transmission, de dispositifs de 
traitement, ou processeurs de flux, 24,25 assurant des fonctions de police. 
Dans I'exemple illustratif de la figure 2, le dispositif 24 equipe l'interface 
exterieure 16 dans le sens sortant, et le dispositif 25 equipe une autre interface 
20 dans le sens entrant. 

Le routeur d'acces est supervise par une unite de gestion 26 pouvant 
consister en un micro-ordinateur ou une station de travail qui execute un 
logiciel de routage servant notamment a configurer la table de routage du 
moteur d'acheminement 22 et les processeurs de flux 24,25 et a echanger 
avec eux des informations de controle ou de protocole. Ces commandes et 
echanges se font par I'intermediaire d'une interface logicielle de programmation 
(API) appropriee. 

La plupart des logiciels de routage et d'acheminement de paquets 
existants sont facilement disponibles dans I'environnement Unix, mais leur 
performance est habituellement limitee a cause des interruptions frequentes du 
systeme d'exploitation. II est beaucoup plus rapide d'utiliser un systeme 
d'exploitation en temps reel tel que VxWorks, mais cela complique la mise en 
place du logiciel de routage. 

Le role des processeurs de flux 24,25 est d'assister le systeme 
d'exploitation non-temps reel (tel qu'Unix), sur la base duquel fonctionne I'unite 
de gestion 26, dans les taches complexes de manipulation des flux qui 
requierent des performances en temps reel (acheminement, filtrage, 
chiffrement...). Ces processeurs mettent en ceuvre un certain nombre d'outils 
de manipulation des flux qui peuvent etre relies dynamiquement suivant toute 
combinaison pour effectuer la tache requise. Cette configuration peut etre 
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effectuee a travers le systeme d'exploitation Unix par appel des fonctions 
d'API, ce qui facilite largement la mise en place de nouvelles fonctionnalites 
par le programmeur. 

Comme illustre schematiquement par la figure 1, Tune des taches 
effectuees par le processeur de flux 24 de I'interface exterieure 16 du routeur 
d'acces 15 consiste a emettre chaque paquet vers le routeur de concentration 
12 en lui adjoignant une signature numerique (bloc 40). Cette signature atteste 
que les paquets en question ont ete soumis aux autres operations de controle 
de flux (bloc 39) effectuees par le processeur 24. 

L'interface correspondante 28 du routeur de concentration 12 comporte 
un module d'analyse des paquets re?us sur la ligne 17 afin de s'assurer de la 
presence de la signature. 

Cette technique de signature permet avantageusement de 
decentraliser les operations de controle de flux necessaires aux relations 
contractuelles entre le gestionnaire du routeur de concentration 12, qui fournit 
le service de raccordement au reseau partage 10, et les abonnes dont les 
installations 13 sont reliees a ce routeur de concentration 12. Dans les 
realisations classiques, ces operations de controle de flux sont effectuees au 
niveau du routeur de concentration. II en resulte une complexity considerable 
du routeur de concentration lorsqu'il est raccorde a d'assez nombreuses 
installations privees, et un manque de souplesse pour les abonnes lorsque des 
modifications sont requises. 

Le fait d'effectuer ces operations de controle de flux au niveau des 
routeurs d'acces 15 procure a cet egard une grande souplesse. La signature 
des paquets garantit alors au fournisseur de service que la ligne 17 ne lui 
envoie pas de paquets valides qui echapperaient au cadre contractue! avec 
i'abonne. Si un tel paquet venait a apparaitre, I'interface 28 du routeur de 
concentration 12 I'efiminerait simpiement apres avoir constate I'absence de la 
signature adequate. 

Diverses methodes classiques peuvent etre utilisees pour construire et 
analyser la signature des paquets, sur- la base d'un secret partage entre les 
routeurs 12 et 15. La signature peut notamment avoir la forme d'un mot de 
code ajoute au contenu du paquet, et calcule sur la base de tout ou partie de 
ce contenu et tfune cle secrete, le calcul etant effectue a I'aide d'une fonction 
extremement difficile a inverser pour recuperer la cle secrete. On peut ainsi 
utiliser une technique de hachage du contenu du paquet, ou tfune partie 
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seulement de ce contenu, par exemple un hachage MD5 (voir R. Rivest, 
RFC 1231, « The MD5 Message Digest Algorithm »). 

On peut egalement utiliser une methode de chiffrement pour former ia 
signature des paquets. Le contenu du paquet est alors chiffre a Paide d'une cle 
privee, Pinterface 28 du routeur de concentration assurant le dechiffrement 
correspondant a Paide d'une cle publique ou privee. Les paquets non chiffres, 
ou chiffres au moyen d'une mauvaise cle sont alors detruits au niveau de 
Pinterface 28. 

En option, on peut prevoir que Pinterface 28 du routeur de 
concentration signe egalement les paquets qu'elle emet sur la iigne 17, et que 
Pinterface 16 du routeur d'acces verifie cette signature pour s'assurer de la 
validite des paquets regus. 

La figure 3 montre I'organisation d'un processeur de flux 24 ou 25 
d'une interface du routeur d'acces 15. 

Le processeur de flux regoit une sequence de paquets entrants 30 
comportant chacun un en-tete 31 conformement au protocole IP, et delivre une 
sequence de paquets sortants 32 ayant un en-tete 33 apres avoir effectue 
certains traitements elementaires dont la nature depend des flux de donnees 
concernes. 

Les paquets entrants 30 sont ranges dans une memoire de paquets 35 
organisee en pile de type premier entre - premier sorti (FIFO). Chaque paquet 
est fourni a la memoire 35 avec une etiquette de traitement 36. L'etiquette de 
traitement a initialement une valeur determinee (0 dans Pexemple represents) 
pour les paquets entrants 30. 

Le processeur de flux est supervise par une unite 37 qui coopere avec 
une table 38 permettant d'associer un module de traitement particulier a 
chaque valeur de Petiquette de traitement. Dans Pexemple simplifie represents 
sur la figure 3 r le processeur de flux comporte un ensemble de cinq modules 
de traitement M1-M5 operant des traitements elementaires de nature 
differente. 

Apres Pexecution d'un traitement elementaire, Punite de supervision 37 
consulte la memoire de paquets 35. Si celle-ci n'est pas vide, un paquet en est 
extrait suivant ('organisation FIFO. L'unite de supervision 37 consulte la table 
38 pour determiner quel module de traitement correspond a Petiquette de ce 
paquet. L'unite 37 active alors le module en question pour qu'il effectue le 
traitement ^elementair@3«icorrespondant. Dans certains cas, ce traitement 
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elementaire peut entrainer une modification du contenu du paquet, notamment 
de son en-tete. 

On comprendra que r« extraction » du paquet a laquelle il est fait 
reference est une extraction au sens logique de la memoire FIFO. Le paquet 
n'est pas necessairement enleve de la memoire. Les adresses des paquets 
dans la memoire 35 peuvent etre gerees de fagon classique au moyen de 
pointeurs pour respecter r organisation FIFO. Le module de traitement active 
peut disposer simplement de Padresse du paquet courant pour effectuer les 
lectures, analyses, modifications ou suppressions requises le cas echeant. 

Le premier module de traitement M1 t associe a Petiquette initiale 0, est 
un module de filtrage qui analyse les champs d'adresse et/ou de definition de 
protocole, et/ou de port de Pen-tete IP des paquets. A I'aide d'une table 
dissociation T1, le module de filtrage M1 delivre une seconde etiquette de 
traitement qui identifie un enchainement de traitements elementaires qui 
devront ensuite etre effectues sur le paquet Apres avoir determine la seconde 
etiquette de traitement pour le paquet extrait de la memoire 35, le module de 
filtrage M1 range a nouveau le paquet dans la memoire 35, avec la seconde 
etiquette de traitement. Le traitement elementaire suivant sera alors execute au 
moment ou le paquet sera de nouveau extrait de la memoire. 

Le module M2 est un module de comptage des paquets relatifs a 
certains flux. Dans le cas de la table dissociation 38 representee sur la figure 
3, ce module M2 est appele pour les etiquettes de traitement 2 et 4. Lorsqu'il 
traite un paquet, le module M2 incremente un compteur avec le nombre 
d'octets du paquet, ou encore avec la valeur 1 dans le cas d'un compteur de 
paquets. Le compteur peut etre securise, notamment s'il sert a la facturation de 
Pabonne par le gestionnaire du reseau 10. Dans le cas d'un compteur securise, 
des requetes sont regulierement faites au fournisseur d'acces pour obtenir des 
credits de transmission, les paquets consideres etant detruits si le credit est 
epuise. 

Le module M3 de la figure 3 est un module de gestion de priorites. 
Dans le cas de la table dissociation 38 representee sur la figure 3, ce module 
M3 est appele pour Petiquette de traitement 3. Le module M3 opere sur le 
champ TOS ('Type Of Service") de Pen-tele IP des paquets. Le TOS est utilise 
dans le reseau pour gerer des priorites d'acheminement afin de fournir une 
certaine qualite de service sur certaines liaisons. Le champ TOS peut etre 
change selon des tables preenregistrees. Ces tables peuvent etre definies 
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sous le controie du fournisseur d'acces pour eviter que des paquets soient 
transmis avec une priorite elevee de fa<pon inappropriee, ce qui pourrait 
perturber le reseau. 

Le traitement elementaire effectue en dernier sur un paquet de la 
5 memoire 35 est soit sa destruction (module M4 active par I' etiquette 8), soit sa 
remise vers la sortie du processeur de flux (module M5 active par r etiquette 5 
ou 9). Le module M4 peut etre utilise pour detruire des paquets ayant une 
certaine destination et/ou une certaine provenance. 

Les modules M2 et M3 : qui ne terminent pas les traitements a assurer 

10 pour un paquet (sauf cas de destruction), fonctionnent chacun avec une table 
de traduction d'etiquette T2,T3. Cette table de traduction designe, pour 
('etiquette de traitement extraite de la memoire 35 avec le paquet courant, une 
autre etiquette de traitement designant le traitement elementaire suivant a 
assurer. Le traitement elementaire assure par ce module M2 ou M3 se termine 

15 par la mise en association du paquet avec cette autre etiquette de traitement et 
la reinjection du paquet ainsi traite dans la memoire 35. 

C'est ainsi qu'on peut effectuer des combinaisons de traitements tres 
variees sur les differents flux de donnees traversant le processeur. 

La figure 4 montre un exemple simplifie correspondant aux tables 

20 38.T1-T3 representees sur la figure 3. Le paquet entrant 30, associe a la 
premiere etiquette 0 est d'abord soumis au filtrage opere par le module M1. 

Dans le cas particulier considere, le processeur de flux 24 compte les 
paquets emis depuis une adresse source AS1 vers une adresse de destination 
AD1 et un port P1, et modifie le champ TOS de ces paquets avant de les 

25 delivrer sur la ligne 17, ce qui correspond a la branche superieure du graphe 
de la figure 4. D'autre part, le processeur de flux 24 compte les paquets issus 
d'une adresse de source AS2 vers un port P2 avant de les detruire, ce qui 
correspond a la branche inferieure de la figure 4. Les autres paquets sont 
simplement delivres vers la ligne 17. La valeur par defaut (9) de I' etiquette de 

30 traitement retournee par le module M1 designe done simplement le module de 
sortie M5. Si le module M1 detecte dans le paquet extrait de la memoire 35 la 
combinaison AS1, AD1, P1 dans les champs d'adresse et de port pertinents, il 
retourne le paquet avec ('etiquette de traitement 2. Si les valeurs AS2, P2 sont 
detectees dans les champs d'adresse et de port, e'est I'etiquette 4 qui est 

35 retournee avec le paquet. 

Ces etiquettes 2 et 4 correspondent- tSufeSr^eiix ' au^%odule de 
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comptage M2. L'etiquette va egaternent designer pour ce module I'adresse 
rnemoire du compteur devant etre increments. La table 12 avec laquelle 
fonctionne le module M2 permettra en fin de traitement d'effectuer le renvoi 
vers le module suivant a activer (M3 designe par l'etiquette 3 pour les paquets 
dont le TOS doit etre change, M4 designe par l'etiquette 8 pour les paquets a 
detruire). 

Le module M3 retpoit des paquets avec l'etiquette de traitement 3, et les 
retourne avec l'etiquette 9 apres avoir opere la modification requise du champ 
TOS. 

A partir de cet exemple simplifie, on voit que le processeur de flux 
permet, a partir de ['identification d'un flux par le module de filtrage M1, 
d'effectuer diverses combinaisons de traitements elementaires d'une maniere 
relativement simple et rapide. 

Un avantage principal de cette fa?on de proceder est la souplesse des 
operations de configuration du processeur de flux. Les tables 38.T1-T3 qui 
definissent un graphe quelconque de traitements elementaires, tel que celui 
represents sur la figure 4, peuvent etre construites de maniere relativement 
simple et avec une faible contrainte de temps reel au moyen de I'unite de 
gestion 36 a travers I'APL II en est de meme pour les informations permettant 
aux modules M1-M5 d'effectuer leurs traitements elementaires (description des 
comptages a operer par le module M2, fa?on de changer les champs TOS par 
le module M3, ...). 

Dans la pratique, le processeur de flux pourra comprendre divers 
modules de traitement autres que ceux represents a titre d'exemple sur les 
figures 3 et 4, suivant les besoins de chaque installation particuliere (par 
exemple, module de gestion des files d'attente de sortie, module de traduction 
d'adresses, ...). 

La fonction de signature des paquets emis, decrite precedemment, 
peut faire partie du traitement elementaire assure par le module de sortie M5. 
Dans une realisation typique du routeur d'acces, le processeur de flux 24 sera 
incius dans un circuit integre duplication specifique (ASIC) organise autour 
d'un coeur de microcontroleur. Cette realisation permet qu'il n f y ait aucun acces 
physique entre les modules de controle de flux 39 (du moins ceux qui 
concernent les relations entre Tabonne et le gestionnaire du reseau 10) et le 
module M5 qui se charge de la signature des paquets, correspondant au bloc 
40 de la figure 1. Ceci ameliore la securit6 de la liaison du point de vue du 
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REVENDICATIONS 

1. Procede de transport de paquets entre une interface d'acces (16) 
d'une installation d'abonne (13) et un routeur de concentration (12) d'un reseau 
partage (10), caracterise en ce que I' interface d'acces procede a des 
operations de controle sur des flux de paquets emis vers le routeur de 
concentration, dans le cadre d'un contrat entre I'abonne et un gestionnaire du 
reseau partage, et en ce qu'apres avoir procede aux operations de controle vis- 
a-vis d'un paquet a emettre, I' interface d'acces emet ce paquet vers le routeur 
de concentration avec une signature basee sur un secret partage avec le 
routeur de concentration, authentifiant que le paquet a ete soumis aux 
operations de controle. 

2. Procede selon la revendication 1, dans lequel la signature consiste 
en un mot de code ajoute au contenu du paquet. 

3. Procede selon la revendication 2 t dans lequel ledit mot de code est 
calcule par une technique de hachage d'une partie au moins du contenu du 
paquet, faisant intervenir le secret partage. 

4. Procede selon la revendication 1, dans lequel la signature consiste 
en un chiffrement du contenu du paquet a I'aide d'une cle privee formant ledit 
secret partage. 

5. Procede selon Tune quelconque des revendications 1 a 4, dans 
lequel I'obtention de la signature et certaines au moins des operations de 
controle sont realisees au sein d'un meme circuit integre, sans acces physique 
immediatement en amont de I'obtention de la signature. 

6. Interface d'acces pour relier un routeur d'acces (15) d'une 
installation d'abonne (13) a un routeur de concentration (12) d'un reseau 
partage (10) : caracterisee en ce qu'elle comprend des moyens (39) de controle 
de flux de paquets emis vers le routeur de concentration, dans le cadre d'un 
contrat entre I'abonne et un gestionnaire du reseau partage, et des moyens de 
signature (40) recevant les paquets delivres paries moyens de controle de flux 
et produisant des paquets signes emis vers le routeur de concentration, 
chaque paquet signe comportant une signature basee sur un secret partage 
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avec te routeur de concentration, authentifiant que le paquet a ete soumis aux 
moyens de controle de flux. 

7. Interface selon ia revendication 6, dans laqueile la signature 
consiste en un mot de code ajoute au contenu du paquet. 

8. Interface selon la revendication 7, dans laqueile ledit mot de code 
est calcuie par les moyens de signature (40) par une technique de hachage 
d'une partie au moins du contenu du paquet, faisant intervenir le secret 
partage. 

9. Interface selon la revendication 6, dans laqueile la signature 
consiste en un chiffrement du contenu du paquet a I'aide d'une cle privee 
formant ledit secret partage. 

10. Interface selon Tune quelconque des revendications 6 a 9, dans 
laqueile les moyens de signature (40) et une partie au moins des moyens de 
controle de flux (39) font partie dun meme circuit integre, sans acces physique 
entre les moyens de controle de flux et les moyens de signature. 
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PCT< 

REQUETE 



Le soussigne requien que !a presente demande 
Internationale suit rraitee con form em en t au Traite de 
cooperation en matiere de brevets. 



Rescr^^M^'fice rccepteur 



Demande internationals n J 



EXPRESS MAIL MAILING LABEL 



Date du deool international 



Nom de I'office recepteur it "Demande Internationale PCT' 



Reference du dossier du deposant ou du mandataire (facultcnn 
f'l 2 carcaeres au maximum) BCT990076 / B L 0 



Cadre nM TITRE DE L'INVENTION Procede d 

interface d'acces d'une installat 
et interface d'acces mettant en o 


e transport de paquets entre une 
ion d'abonne et un reseau partage, 
euvre un tel precede. 


Cadre n" II D EPOS A NT 


Nom et adresse : fNom de /ami lie suivi du pre nom; pour une personne morale, designation 
officielle complete. L 'adresse doit comprendre ie code postal et le nom du pays. Le pays de 
Cadresse indiquee dans ce cadre est I 'uat ou le deposant a son domicile si aucun domicile 
n 'est indique ci-dessous.) 

NETCENTRE X 

9, Boulevard Detolle 
Residence Olympia 
14000 CAEN 
FRANCE 


1 i Certe personne est aussi 
' ' inventeur. 


n J de telephone 


n" de telecopieur 


n* de teleimprimeur 


Nationality (nom de I'Etat) : 
FR 


Domicile (nom de I'Etat) : 
FR 


Certe personne est (— n tousles Etats r— 1 tous.lcs Etats designes sauf 1 [ les Etais-Unis d'Arnerique | I les Etats indiques dans 
deposant pour : I 1 designes IX | j C s Etais-Unis d'Arnerique | | sculement | | | e cadre supplemental 


Cadre n 9 III AUTRE(S) DEPOSANT(S) OU (AUTRE(S)) INVENTEUR(S) 


Nom et adresse : (Nom de /am Hie suivt du pre nom; pour une personne morale, designation 
officielle complete. L 'adresse doit comprendre le code postal et le nom du pays. Le pays de 
I adresse indiquee dans ce cadre est I 'Etat ou le deposant a son domicile si aucun domicile 
n est indique ci-dessous.) 

HERSENT Olivier 

9, Boulevard Detolle 

Residence Olympia 

14000 CAEN 

FRANCE 


Certe personne est : 

| | deposant sculement 

| x | deposant et inventeur 

| | inventeur seulement 
fSi cette case est cochee, 
ne pas remplir la suite./ 


Nationality (nom de I'Etat) : 
FR 


Domicile (nom de I'Etat) : 
FR 


Certe personne esi 1 1 touslcsEtais 1 1 tousles Etats designes sauf r— | les Etats-Unis d'Arnerique | 1 les Etats indiqucs dans 

deposant pour : 1 I designes | | les Etais-Unis d\\merique [XJ sculement | | le cadre supplemental 


| [ D'autres deposants ou inventeurs sont indiques sur une feuille annexe. 


Cadre n" IV MANX) ATA IRE OU RE PRESENT A NT COMMUN; OU ADRESSE POUR LA CORRESPOND ANCE 


La penoniiedomlMdentiie est donnee ci-dessous est/aete* designee pour agir au nom du ou r— j manc i ata j re 1 | representant commun 
des deposants 3upres des autorites imernationaJes competentes. comme: 1 1 1 1 


Nom et adresse : fNom de famille suivi du prinom; pour une personne morale, designation officielle 
complete. L adresse doit comprendre le code postal et le nom du pays.; 

LOISEL Bertrand - JACQUELIN Marc-Henri 

CABINET PLASSERAUD 

84 rue d' Amsterdam 

75440 PARIS CEDEX 09 

FRANCE 


n" de telephone 

01 44 63 41 11 


n* de telecopieur 

01 42 80 01 59 


n" dc teleimprimeur 


1 1 Adresse pour la correspondance : cochcr certe case lorsque aucun mandataire ni representant commun n'est/n'a ete designc 

I 1 et que 1'espace ci-dessus est utilise pour indiquer une adresse speciale a laquelle la correspondance doit etre envoyee. 
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Voir les notes relatives au formula ire de requete 



Cadre n* V DESIGNATION D'ETi 



onrorm 



Feuille n° 



rmcment a la regie 4.9. a) (cocker les cases appropr 




une au moins doit I 'etre; : 



Les designations suivantcs sont faites con 
Brevet regional 

□ AP Brevet ARJPO : GH Ghana. CM Gambie. KE Kenya. LS Lesotho, MW Malawi. SD Soudan. SL Sierra Leone. 

SZ Swaziland. UG Ouganda. ZW Zimbabwe et tout autre Etat qui est un Etat contractant du Protocolc de Harare et du PCT 

□ EA Brevet eurasien.: AM Armenie. AZ Azerbaijan. BY Belarus. KG Kirghizistan. KZ Kazakhstan. MD Republique de 

Moldova. RU Federation de Russie. T.J Tadjikistan. TM Turkmenistan et tout autre Etat qui est un Elat contractant de 
ia Convention sur !e brevet eurasien et du PCT 

03 EP Brevet europeen : AT Autriche. BE Beleique. CH ei LI Suisse et Liechtenstein, CY Chypre. DE Allemagnc. 

DK Danemark, ES Espagne. FI Finlandc. FR France. G B Royaume-Uni. GR Grece. IE iriande. IT Italic, 
LL' Luxembourg, MC Monaco. NL Pays-Bas. PT Ponugai. SE Suede et tout autre Etat qui est un Etat contractant de la 
Convention sur le brevet europeen et du PCT 

□ OA Brevet OAPI ': BF Burkina Faso, BJ Benin. CF Republique centrafricaine. CG Congo. CI Cote d'lvoire. 

CM Canieroun, GA Gabon. GN Guinee. GW Guinee-Bissau. ML Mali. MR Mauritania NE Niger. SN Senegal. 
TD Tchad, TG Togo et tout autre Etat qui est un Etat membre de I'OAPI et un Etat contractant du PCT (si une autre forme 
de protection ou de :raitement est souhaitee, le precis er sur la ligne poiruiilee) 

Brevet national fsi une autre forme de protection ou de traitement est souhaitee, le preciser sur la ligne pointillee) : 



□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 

□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 

□ 
□ 
□ 
□ 



□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 
□ 

□ 

□ 

CZ Republique tcheque □ 

□ 

□ 

□ 

□ 

□ 

□ 
□ 

□ 

□ 

□ 

□ 



AE Emirats arabes unis 

AJL Albanie 

AM .Armenie 

AT Autriche 

AU Austral ie 

AZ .Azerbaidjan 

BA Bosnie-Herzegovine 

BB Barbade 

BG Bulgarie 

BR Bresii 

BY Belarus 

CA Canada 

CH et LI Suisse et Liechtenstein 

CN Chine 

CU Cuba 



LR Liberia 

LS Lesotho 

LT Lituanie 

LU Luxembourg 

LV Lertonie 

MD Republique de Moldova 

MG Madagascar 

MK Ex-Republique yougoslave de Macedoine 



DE Allemagne . . . 
DK Danemark . . . 

Estonie 

Espagne .... 
Finlande 
Royaume-Uni 
Grenade 

GE Georgie 

GH Ghana 

GM Gambie 

HR Croatie 



EE 

ES 

FI 

GB 

GD 



HU Hongrie □ 

□ 

□ 

S3 



ID Indonesie 

IL Israel . . . 

IN Inde 

IS Islande 

JP Japon ... 

KE Kenya . . . 
KG 

KP Republique populaire democratique de Coree 



MN Mongolie 

MW Malawi 

MX Mexique 

NO Norvege 

NZ Nouvelle-Zelande .... 

Pologne 

Portugal . , . : 

Roumanie 

Federation de Russie . . 
Soudan 
Suede 
Singapour 

Slovenie 

Slovaquie 

Sierra Leone 

Tadjikistan 

TM Turkmenistan 

TR Turquie 

TT Trinite-et-Tobago .... 

UA Ukraine 

UG Ouganda 

US Ecats-Unis d'Amerique 



PL 

PT 

RO 

RU 

SD 

SE 

SG 

SI 

SK 

SL 

TJ 



□ 
□ 

Kirghizistan O 

□ 
□ 



UZ Ouzbekistan . . . 

VN Viet Nam 

YU Yougoslavie . . . 

ZA Afrique du Sud 

ZW Zimbabwe . . . 



KR Republique de Coree 

KZ Kazakhstan 

LC Sainte-Lucie 

LK Sri Lanka 



Cases reservees pour la designation d'Etats qui sont devenus 
parties au PCT apres la publication de la presente feuille : 

□ 

□ 



Declaration concernant Ies designations de precaution : outre les designations faites ci-dessus, le deposant fait aussi conformemcnt a la 
regie 4.9. b) toutes les designations qui seraient autorisees en venu du PCT, a Texception de toute designation indiquee dans le cadre 
supplemental comme e*tant exclue de la portee de certe declaration. Le deposant declare que ccs designations additionnelles sont faites 
sous reserve de confirmation etquc toute designation qui n 'est pas confirmee avant 1'expiration d'un delai de 15 mois a compter de la date de 
priorite doit etre consideree comme retiree par le deposant a I 'expiration de ce delai. (Pour confirmer une designation, il faut deposer une 
declaration contenant la designation en question et payer les taxes de designation et de confirmation. La confirmation doit parvenir a I 'office 
recepteurdans le delai de 1 5 mots.) 



Formuiaire PCT/RO/IOI (deuxieme feuille) Quillet 1999) 



Voir (es notes relatives au formuiaire de requite 



Cadre n* VI 



REVENDICATIO 



# 



Feuille n° 



RIORITE 



□ 



ft 



res revendicanons dc priorite sont 
uecs dans le cadre supplementairc. 



Date de depot 
do ta demande anterieure 
fjou r/m o is/a nnee) 



Numero 
de la demande amerteurc 



Lorsque la demande antericurc est une . 



demande naiionale : 
pays 



demande regionale 
office regional 



demande intcmationale 
office receDtcur 



(1) 



14 DECEMBRE 98 
( 14/12/1998 ) 



98 15756 



FRANCE 



0) 



□ 



L 'office recepteur est prie de preparer et de transmettre au Bureau international une copie certifiee conforme de la ou des demandes 
amerieures (seulement si la demande anterieure a ete depose e aupres de I 'office qui, aux fins de 

la presente demande Internationale . est I 'office recepteur) indiquees ci-dessus au(x) point(s) : 



* Si la demande anterieure est une demande ARJPO. il est obligctoire d' indiquer dans le cadre supplementaire au moins un pays partie a la Convention 
de Parts pour ia protection de la propnete industneile pour lequel cette demande anterieure a ete deposee (regie 4. IQ.biii)). Voir le cadre supplementaire. 



Cadre n* VTI ADMINISTRATION CHARGEE DE LA RECHERCHE INTERNATIONALE 



Choix de Tadministration chargee de la recherche 
internationale (ISA) (si plusieurs administrations 
chargees de la recherche internationale sont competentes 
pour proceder a la recherche internationale, indiquer 
I administration choisie; le code a deux lettres peut itre 
utilise) : 

ISA/ EP 



Demande d'utilisation des resultats d'une recherche anterieure; mention de 
cene recherche (si une recherche anterieure a ete ejfectuee par I 'administration 
chargee de la recherche internationale ou demande e a cette dernier e) : 

Date (jour/mois/annee) Numero Pays (ou office regional) 



5/10/1999 



FA 568520 



FRANCE 



Cadre n a VIII BORDEREAU; LANGUE DE DEPOT 



La presente demande internationale contient 
le nombre de feuilles suivant : 



requete 

description (sauf partie reservee 
au iistage des sequences) 

revendications 

abrege 

dessins 

partie de la description reservee 
au Iistage des sequences 

Nombre total de feuilles 



3 
10 



1 
3 



19 



Le ou les elements coches ci-apres sont joints a la presente demande internationale 

I. B feuille de calcul des taxes 

O pouvoir distinct signe 

3. □ copie du pouvoir general; numero de reference, le cas echeant : 

4. □ explication de I'absence d'une signature 

5. □ document(s) de priorite indique(s) dans le cadre n° VI au(x) point(s) : 

6. Q traduction de la demande internationale en (langue) : 

7. □ indications separees concemant des micro-organismes ou autre materiel 

biologique deposes 

8. □ Iistage des sequences de nucleotides ou d'acides amines sous forme 

dechiffrable par ordinateur 

9. Q aurres elements (preciser) : COPIE DU RAPPORT DE RECHERCHE 



Figure des dessins qui 
doit accompagner P abrege : 1 


Langue de depot de la 

demande internationale : FRANCAISE 


Cadre n* LX SIGNATURE DU D EPOS ANT OU DU MANDATAIRE 



A cote de chaque signature, indiquer le nom du signataire et. si cela n apparait pas clairement a la lecture de la requete. a quel tine I "mteresse signe. 

Paris , le 10 decembre 1999 
LOISEL Bertrand 




Reserve a 1* office recepteur 



I . Date effective de reception des pieces supposees 
consumer la demande internationale : 



3. Date effective de reception, rectifiee en raison de la reception ulte- 
rieure, mais dans les delais, dc documents ou de dessins completant ce 
qui est suppose constituer la demande internationale : 



4. Date de reception, dans les delais, des corrections 
demandees selon Particle 1 1.2) du PCT : 



2. Dessins : 
| | recus : 



□ 



non recus 



5. Administration chargee de la recherche , 
internationale (si plusieurs sont competentes) : l^A / 



6. 



□ Transmission de la copie de recherche differee 
jusqu'au paiemcnt de la taxe de recherche. 



Date de reception de rexcmplaire 
original par le Bureau international : 



Reserve au Bureau international 



Formulai re PCT/RO/101 (demiere feuille) (juillet 1998; reim press ion juillet 1999) Voir les notes relatives au formutaire de requete 



^PF 



Destinataire: 



LOISEL, B. 



TRAITEJ2E COOPERATION EN MATlERE^iE BREVETS 

RESS MAIL MAILING LABEL 

No . FzL2X(X*LpCHIbOS> 

PCT 



Expediteur: L'ADMINISTRATION CHARGEE DE 

L'EXAMEN PRELIMINAIRE INTERNATIONAL 



CABINET PLASSERAUD I f? L C U L ET 
84, rue d'Amsterdam I 



F-75440 PARIS Cedex 09 
FRANCE 



10. AVR.200ll 



j C t>' Plcsseraud 



NOTIFICATION 
RAPPORT D 

IN" 

(regl 




Date d' expedition 

(jour/mois/annee) 03.04.2001 



Reference du dossier du deposant ou du mandataire 
BCT990076/BLO 



NOTIFICATION IMPORTANTE 



Demande internationale No. 
PCT/FR99/03097 



Date du depot international (jour/mois/annee) 
10/12/1999 



Date de priorite (jour/mois/annee) 
14/12/1998 



Deposant 

NETCENTREX et al. 



1. II est notifie au deposant que radministration chargee de Pexamen preliminaire international a etabli le rapport 
d'examen preliminaire international pour ta demande internationale et le iui transmet ci-joint, accompagne, le 
cas echeant, de ces annexes. 



2. Une copie du present rapport et, le cas echeant, de ses annexes est transmise au Bureau international pour 
communication a tous les offices elus. 



3. Si tel ou tel office elu I'exige, ie Bureau international etablira une traduction en langue anglaise du rapport (a 
('exclusion des annexes de ceiui-ci) et la transmettra aux offices interesses. 



4. RAPPEL 

Pour aborder ia phase nationaie aupres de chaque office elu, le deposant doit accomplir certains actes (depot 
de traduction et paiement des taxes nationales) dans le delai de 30 mois a compter de la date de priorite (ou 
plus tard pour ce qui concerne certains offices) (article 39.1) (voir aussi le rappei envoye par le Bureau 
international dans le formulaire PCT/IB/301). 

Losrqu'une traduction de la demande internationale doit etre remise a un office elu, elle doit comporter la 
traduction de toute annexe du rapport d'examen preliminaire international. II appartient au deposant d'etablir la 
traduction en question et de lajemettre directement a chaque office elu interesse. 



Pour plus de precisions en ce qui concerne les delais appticables et les exigences des offices elus, voir le 
Volume II du Guide du deposant du PCT. 



Nom et adresse postale de I'adminstration chargee de I'examen 
preliminaire international 


Fonctionnaire autorise 




— Office europeen des brevets 

D-80298 Munich 


Ahrens, R 




ij/' Tel. -k49 89 2399 - 0 Tx: 523656 epmu d 






Fax: +49 89 2399 - 4465 


Tel.+49 89 2399-8136 





Formulaire PCT/IPEA/416 (juillet 1992) 



TRAITE rJPCOOPERATION EN MATIER^JE BREVETS 

PCT 

RAPPORT D'EXAMEN PRELIMINA1RE INTERNATIONAL 

(article 36 et regie 70 du PCT) 



Reference du dossier du deposant ou du 
mandataire 

BCT990076/BLO 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/1 PEA/41 6) 


Demande Internationale n° 
PCT/FR99/03097 


Date du depot international (jour/mois/annee) 
10/12/1999 


Date de priorite (jour/mois/annee) 
1 4/1 2/1 998 


Classification internationale des brevets (CiB) ou a la fois classification nationale et CIB 
H04L29/06 


Deposant 

NETCENTREX et al. 



1. Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 6 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
['administration chargee de I'examen preliminaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I IS Base du rapport 



d'application industrielle 
Absence d'unite de ('invention 

Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

Certains documents cites 

Irregularites dans la demande internationale 



II 


□ 


III 


□ 


IV 


□ 


V 


El 


VI 


□ 


VII 




VIII 


□ 



Date de presentation de la demande d'examen preliminaire 
internationale 

1 3/07/2000 


Date d'achevement du present rapport 
03.04.2001 


Nom et adresse postale de Padministration chargee de 
I'examen preliminaire international: 

Office europeen des brevets 

0))) D-80298 Munich 
cy 7 Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax:+49 89 2399-4465 


Fonctionnaire autorise ^ss^^v 
Dechmann, J-L (l |) 

N° de telephone +49 89 2399 8826 ^2*^-^ 
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Demande internationale n° PCT/FR99/03097 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande internationale {les feuilies de remplacement qui ont ete remises 
a /'office recepteur en reponse a une invitation faite conformement a I'article 14 sont considerees dans le present 
rapport comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'elles ne contiennent 
pas de modifications (regies 70. 16 et 70. 1 7)): 

Description, pages: 

1-10 version initiale 



Revendications, N°: 

1-10 version initiale 



Dessins, feuilies: 

1/3-3/3 version initiale 



2. En ce qui concerne la langue, tous les elements indtques ci-dessus etaient a la disposition de I'administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1 (b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement a I'administration, sous forme Ecrite. 

□ remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-dela 
de la divulgation faite dans la demande telle que deposee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques a 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entralne I'annulation : 



55.3). 
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□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 
comme allant au-dela de I'expose de I'invention tel qu'ii a ete depose, comme il est indique ci-apres (regie 
70.2(c)) : 

(Toute feuille de remp/acement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 



6. Observations complementaires, le cas echeant 



V. Declaration motivee selon I'article 35(2) quant a la nouveaute, Pactivite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1-10 

Non : Revendications 

Activite inventive Oui: Revendications 1-10 

Non : Revendications 



Possibility d'application industrielle Oui : Revendications 1-10 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VII. Irregularites dans la demande internationale 

Les irregularites suivantes, concernant la forme ou le contenu de la demande internationale, ont ete constatees 
voir feuille separee 
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V. Declaration motivee selon la regie 66.2. a)ii) quant a la nouveaute, I'activite 
inventive et la possibility d'application industrielle; citations et explications a 
I'appui de cette declaration 

I 



Les documents (D) suivants ont ete pris en compte pour I'etablissement du rapport 
d'examen preliminaire: 

D1 : GRAY A: 'ROUTER ENCRYPTION MADE EASY - THE HARD WAY' DATA 
COMMUNICATIONS, vol. 26, no. 2, 1 fevrier 1997 (1997-02-01), page 36, 
38 XP000659573 ISSN: 0363-6399 
D2: GB-A-2 323 757 

D3: BRUNO L: 'SECURITY' DATA COMMUNICATIONS, vol. 27, no. 1, 1 janvier 
1998 (1998-01-01), page 88, 90 XP000733531 ISSN: 0363-6399 

D4: MAKRIS J: 'LOCKING DOWN INTRANETS FROM AFAR-FOR LESS' DATA 
COMMUNICATIONS, vol. 27, no. 11, 1 aout 1998 (1998-08-01), page 25/26 
XP000782253 ISSN: 0363-6399 

D5: HEYWOOD P: 'PRODUCT LEADERS FILTERS WITHOUST FUSS' DATA 
COMMUNICATIONS, vol. 27, no. 8, 21 mai 1998 (1998-05-21), page 29/30 
XP000755584 ISSN: 0363-6399 

D6: BAUSPIESS F ET AL: 'REQUIREMENTS FOR CRYPTOGRAPHIC HASH 
FUNCTIONS' COMPUTERS & SECURITY INTERNATIONAL JOURNAL 
DEVOTED TO THE STUDY OF TECHNICAL AND FINANCIAL ASPECTS 
OF COMPUTER SECURITY, vol. 11, no. 5, 1 septembre 1992 (1992-09-01), 
pages 427-437, XP000296996 ISSN: 0167-4048 



II 



La presente demande concerne les reseaux de transmission par paquets (Rev 1 : 
procede de transport; Rev 6: Interface d'acces). Elle s'applique notamment aux 
reseaux partages fonctionnant selon le protocole Internet. 
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La mise en ceuvre de invention intervient dans le cadre des relations contractuelles 
entre un fournisseur d'acces au reseau partage et ses clients. Le fournisseur dispose 
pour le raccordement des installations de ses clients, d'un ou plusieurs routeurs de 
concentration du reseau partage. Des lignes de transmission relient ce routeur de 
concentration aux interfaces d'acces des installations des clients qui peuvent etre des 
interfaces de routeurs d'acces de reseaux prives. 

Habituellement les fonctions de police relevant du cadre contractuel entre le 
fournisseur d'acces et ses clients sont mises en oeuvre au niveau des interfaces de 
raccordement du routeur de concentration. 

Ce routeur heberge des logiciels de controle des flux qui circulent sur ses differentes 
interfaces. Les paquets ayant certaines adresses ou ports de provenance ou de 
destination sont comptes, fiitres, reagences selon le type de service offert. 

Du fait du nombre eleve d'installations susceptibles d'etre reliees au routeur de 
concentration et de la variete de sen/ices qui peuvent etre rendus pour ces 
installations, les differents controles de flux a appliquer peuvent augmenter 
considerablement la complexite du routeur. D'autre part, cette organisation n'est pas 
souple pour le client qui souhaite faire evoluer certaines caracteristiques du service qui 
lui est offert. II doit pour cela s'adresser a son fournisseur pour que celui-ci effectue les 
changements requis au niveau de son routeur de concentration. 

Le but de la presente invention est done de proposer un mode de fonctionnement du 
reseau qui permette la prise en compte d'une grande diversite de controles de flux 
sans se traduire par une augmentation excessive de la complexite des routeurs de 
concentration, et avec une relative souplesse de configuration. 
Linvention propose ainsi un procede de transport de paquets entre une interface 
d'acces d'une installation d'abonne et un routeur de concentration d'un reseau partage, 
dans lequel I'interface d'acces procede a des operations de controle sur des flux de 
paquets emis vers le routeur de concentration, dans le cadre d'un contrat entre 
I'abonne et un gestionnaire du reseau partage. Apres avoir procede aux operations de 
controle vis-a-vis d'un paquet a emettre, I'interface d'acces emet ce paquet vers le 
routeur de concentration avec une signature basee sur un secret partage avec le 
routeur de concentration, authentifiant que le paquet a ete soumis aux operations de 
controle. 

Les controles de flux relevant du cadre contractuel entre le gestionnaire du reseau et 



Formulaire PCT/Feuille separ6e/409 (feuille 2) (OEB-avril 1997) 



# 



RAPPORT D'EXAMEN 



Demande international n° PCT/FR99/03097 



PREL1MINAIRE INTERNATIONAL - FEUILLE SEPAREE 



I'abonne sont ainsi decentralises, ce qui evite que le routeur de concentration ait a 
assumer toute la diversite des operations requises par les differents abonnements. Le 
mecanisme de signature des paquets garantit au gestionnaire du reseau que I'abonne, 
qui dispose dans ses locaux de ('interface d'acces. ne lui envoie pas de paquets qui 
n'auraient pas ete soumis aux operations de controie de flux, c'est-a-dire qui auraient 
contourne les fonctions de police et de facturation. 

Le procede donne lieu a une architecture distribute de I'acces et de la concentration, 
qui est bien adaptee pour prendre en compte les augmentations de trafic et de diversite 
de services qu'entrameront les applications futures. 

L'abonne beneficie en outre d'une plus grande souplesse pour definir dynamiquement 
les caracteristiques de son abonnement. II lui suffit d'intervenir au niveau de I'interface 
d'acces dont il dispose. II peut d'autre part definir les fonctions de police relevant du 
cadre contractuel avec le fournisseur d'acces sur la meme plate-forme que les autres 
fonctions de police qu'il utilise pour I'organisation interne de son installation, ce qui 
simplifie son organisation. 

Une telle solution n'est ni decrite ni derivable des document cites et une activite 
inventive est reconnue. Les revendications 1-10 satisfont done les exigences de 
I'Article 33(3) PCT. 

VII. Irregularites dans la demande internationale 

1 . Si le Demandeur a connaissance d'un document representant Petat de la 
technique tel qu'il le decrit a I'introduction de la description page 1 
("...Habituellement les fonctions de police relevant du cadre contractuel entre le 
fournisseur d'acces et ses clients sont mises en oeuvre au niveau des interfaces 
de raccordement du routeur de concentration..."), il lui est demande d'identifier ce 
document conformement a la Regie 5.1 (a)(ii) du PCT. 

Dans le cas contraire, le Demandeur est prie de mentionner et de brievement 
analyser les documents D1 a D4 dans la partie introductive de la description. 
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Seion la classification international des brevets (CIB) ou a la fois selon la classification nationale et la CIB 



B. DOMAINES SUR LESGUELS LA RECHERCHE A PORTE 



Documentation minimale consultee (systeme de classification suivi des symboles de classement) 

CIB 7 H04L 



Documentation consultee autre que la documentation minimale dans la mesure ou ces documents relevent des domaines sur lesquels a porte ia recherche 



Base de donnees eiectronique consultee au cours de la recherche internationale (nom de la base de donnees. et si realisable, termes de recherche utilises) 

EPO-Internal , PAJ 



C. DOCUMENTS CONStDERES COMME PERTINENTS 



Categorie ' 



Identification des documents cites, avec. le cas echeant, I'indication des passages pertinents 



no. des revendications visees 



GRAY A: "ROUTER ENCRYPTION MADE EASY - 

THE HARD WAY" 

DATA. COMMUNICATIONS, 

vol . 26, no. 2, 

1 fevrier 1997 (1997-02-01), page 36, 38 

XP000659573 

ISSN: 0363-6399 

le document en entier 

BRUNO L: "SECURITY" 
DATA COMMUNICATIONS, 
vol. 27, no. 1, 

1 janvier 1998 (1998-01-01), page 88, 90 

XP000733531 

ISSN : 0363-6399 

le document en entier 

-/-- 



1.6 



2-4,7-9 



m 



Voir la suite du cadre C pour la fin de la liste des documents 



Les documents de families de brevets sont indiques en annexe 



° Categories speciales de documents cites: 

"A" document definissant I'etat general de la technique, non 

considere comme particulierement pertinent 
"E" document anterieur. mais publie a la date de depot international 

ou apres cette date 
"L" document pouvant jeter un doute sur une revendication de 

priorite ou cite pour determiner la date de publication d'une 

autre citation ou pour une raison speciale (telle qu'indiquee) 
"O" document se referant a une divulgation orale, a un usage, a 

une exposition ou tous autres moyens 
"P" document publie avant la date de depot international, mais 

posterieurement a la date de priorite revendiquee 



"T" document ulterieur publie apres la date de depot international ou la 
date de priorite et n'appartenenant pas a letat de la 
technique pertinent, mais cite pour comprendre le principe 
ou la theorie constituant la base de I'invention 

"X" document particulierement pertinent; I'inven tion revendiquee ne peut 
etre consideree comme nouvelle ou comme impliquant une activite 
inventive par rapport au document considere isotement 

"Y" document particulierement pertinent; I'inven tion revendiquee 

ne peut etre consideree comme impliquant une activite inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de meme nature, cette combinaison etant evidente 
pour une personne du metier 

"&" document qui fait partie de la meme famille de brevets 



Date a taquelle ta recherche internationale a ete effectivement achevee 



6 novembre 2000 



Date d'expedition du present rapport de recherche internationale 



14/11/2000 



Nom et adresse postale de I'administration chargee de la recherche internationale 
Office Europeen des Brevets. P.B. 5818 Patentlaan 2 
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no. des revendications visees 



MAKRIS J: "LOCKING DOWN INTRANETS FROM 

AFAR-FOR LESS" 

DATA COMMUNICATIONS, 

vol. 27, no. 11, 1 aout 1998 (1998-08-01), 

page 25/26 XP000782253 

ISSN: 0363-6399 

le document en entier 

HEYWOOD P: "PRODUCT LEADERS FILTERS 

WITHOUST FUSS" 

DATA COMMUNICATIONS, 

vol. 27, no. 8, 21 mai 1998 (1998-05-21). 

page 29/30 XP000755584 

ISSN: 0363-6399 

le document en entier 

BAUSPIESS F ET AL: "REQUIREMENTS FOR 
CRYPTOGRAPHIC HASH FUNCTIONS" 
COMPUTERS & SECURITY INTERNATIONAL JOURNAL 
DEVOTED TO THE STUDY OF TECHNICAL AND 
FINANCIAL ASPECTS OF COMPUTER SECURITY, 
vol. 11, no. 5, 

1 septembre 1992 (1992-09-01), pages 
427-437, XP000296996 
ISSN: 0167-4048 
page 427 -page 429 

GB 2 323 757 A (IBM) 

30 septembre 1998 (1998-09-30) 

abrege 

page 7, ligne 1 -page 10, ligne 4 
figure 4 



1-10 



1-10 



2,3,7,8 



1-10 
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international le: 
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| | dans une d6cla ration visant une election ulterieure deposee a u pros du Bureau international le: 



2. Selection |_XJ aetefaite 
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Fonctionnaire autorise 


Bureau international de I'OMPI 
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(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference 
BCT990076/BLO 


_ , See Notification of Transmittal of International 
FOR FURTHER ACTION Pre i iminarv Examination Report (Form PCT/IPEA/4 16) 


International application No. 


"International filing date (day/month/year) 


Priority date (day/month/year) 


PCT/FR99/03097 


10 December 1999 (10.12.99) 


14 December 1998 (14.12.98) 


International Patent Classification (IPC) or national classification and IPC 




H04L 29/06 






Applicant 


NETCENTREX 





This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



2. 



This REPORT consists of a total of 

□ 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 


I2SJ 


II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 


□ 



Date of submission of the demand 

13 July 2000(13.07.00) 


Date of completion of this report 

03 April 2001 (03.04.2001) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/FR99/03097 



I. Basis of the report 



1 . This report has been drawn on the basis of (Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 

| | the international application as originally filed. 

the description, pages , as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of 

pages , filed with the letter of 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



-10 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



the drawings, 



sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/3-3/3 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

I | the description, pages 

I 1 the claims, Nos. 



I I the drawings, sheets/fig 



2 I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
— to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



international application No. 
PCT/FR 99/03097 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-10 



1-10 



1-10 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 



The following documents (D) have been taken into account 
to establish the preliminary examination report: 

Dl : CRAY A: * ROUTER ENCRYPTION MADE EASY - THE HARD 
WAY ' DATA COMMUNI CATIONS , vol .26, no . 2 , 1 
February 1997 (1997-02-01), page 36, 38 
XP000659573 ISSN: 0363-6399 
D2 : GB-A-2 323 757 

D3 : BRUNO L : x SECURITY ' DATA COMMUNICATIONS , vol .27, 
no.l, 1 January 1998 (1998-01-01), page 88, 90 
XP000733531 ISSN: 0363-6399 

D4: MAKRIS J: * LOCKING DOWN INTRANETS FROM AFAR-FOR 
LESS ' DATA COMMUNICATIONS, vol.27, no. 11, 1 
August 1998 (1998-08-01) , page 25/26 XP000782253 
ISSN: 0363-6399 

D5: HEYWOOD P: * PRODUCT LEADERS FILTERS WITHOUT 

FUSS' DATA COMMUNICATIONS, vol.27, no. 8, 21 May 
1998 (1998-05-21), page 29/30 XP000755584 ISSN: 
0363-6399 

D6: BAUSPIESS F ET AL : * REQUIREMENTS FOR 

CRYPTOGRAPHIC HASH FUNCTIONS' COMPUTERS & 
SECURITY INTERNATIONAL -JOURNAL DEVOTED TO THE 
STUDY OF TECHNICAL AND FINANCIAL ASPECTS OF 



Form PCT/IPEA/409 (Box V) (January 1994) 



International application No. 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT pcT/FR 99/03097 



COMPUTER SECURITY, vol . 11 , no . 5 , 1 September 
1992 (1992-09-01), pages 427-437, XP000296996 
ISSN: 0167-4048 



II 

The present application relates to packet transmission 
networks (Claim 1: transport method; Claim 6: Access 
interface) . It is particularly applicable to shared 
networks operating according to Internet Protocol. 



The invention applies to contractual relationships between 
a shared network access provider and its clients. The 
provider uses one or more shared network concentration 
routers for the connection of client installations. 
Transmission lines connect said concentration router to 
the access interfaces of the client installations, which 
may be interfaces of private network access routers. 
Generally, the policy functions relating to the agreement 
between the access provider and its clients are applied at 
the connection interfaces of the concentration router. 
Said router accommodates flow control software programs 
that run on different interfaces. Packets having certain 
origin or destination addresses or ports are counted, 
filtered, rearranged according to the type of service 
offered. 



Because of the large number of installations that are 
likely to be connected to the concentration router and the 
variety of services that can be provided for these 
installations, the different flow controls to be applied 
can significantly increase router complexity. However, 
this organization is not flexible for the client who 
wishes to change certain features of the service offered. 
The client must therefore send a request to the provider 
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in order for the latter to make the necessary changes at 
the concentration router level. 



The aim of the present invention is, therefore, to propose 
a method for operating the network that enables the 
recognition of a large- variety -of flow controls without 
involving an excessive increase in concentration router 
complexity, and with a relatively flexible configuration. 
The invention therefore proposes a method for transporting 
packets between an access interface of a subscriber 
installation and a concentration router of a shared 
network, in which the access interface carries out control 
operations over the flow of packets sent to the 
concentration router, as part of an agreement between the 
subscriber and a manager of the shared network. After 
carrying out the control operations relating to a packet 
to be sent, the access interface sends this package 
towards the concentration router with a signature based on 
a secret shared with the concentration router, 
authenticating that the packet has been subjected to the 
control operations . 

The flow controls relating to the agreement between the 
network manager and the subscriber are therefore 
decentralized, preventing the concentration router from 
taking over all of the various operations required by the 
different subscriptions. The signature mechanism of the 
packets provides the guarantee to the network manager that 
the subscriber, who has on premises the access interface, 
does not send packets that have not been subjected to the 
flow control operations, that is to say, that have 
bypassed the policy and billing functions. 

The method leads to a distributed network architecture for 

access and concentration, which is well designed for 
managing the increases in traffic and variety of services 
that future applications will involve. 
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The subscriber benefits, additionally, from a greater 
flexibility for dynamically defining the subscription 
features. Tthe subscriber only needs to take action at 
the level of the access interface that he/she is using. 
The subscriber can also define the policy functions of the 
agreement with the access provider on the same plat-form as 
the other policy _f unctions that the subscriber uses for 
the internal organization of his/her installation, which 
simplifies organization . 

Such a solution is neither described nor derivable from 
the cited documents and an inventive step is recognized. 
Claims 1-10 therefore meet the requirements of PCT Article 
33 (3) . 
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VII. Certain defects in the international application 

The following defects in the form or contents of the international application have been noted: 

1. If the Applicant has knowledge of a document 

describing the prior art as it is described in the 
introduction of the description on page 1 
("...Generally, the policy functions relating to the 
agreement between the access provider and its 
clients are implemented at the connection 
interfaces of the concentration router../') , the 
applicant is asked to identify this document in 
accordance with PCT Rule 5.1(a) (ii) . 

If this is not the case, the Applicant is asked to 
mention and to briefly analyze documents Dl to D4 
in the introductory part of the description. 
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